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Terminal s6curi$6 

Domaine technique de ^invention 

La presente invention concerne les terrninaux s6curis6s, tels que par exemple les 
5 terrninaux bancaires ou fes terrninaux de sante. 

Un terminal bancaire, relie & un r6seau de telecommunication, permet de realiser une 
transaction de type bancaire par insertion d'une carte bancaire de type magn£tique 
et/ou & puce dans le terminal, authentication du porteur de la carte, et saisie de la 

nature et des details de ia transaction. 

10 Un terminal de sante reli^ & un reseau de telecommunication, permet de maniere 
analogue d'acc£der a des donnees de nature medicale ou de securite social concemant 
un porteur d'une carte de sante de type magnetique et/ou a puce. 

1 5 Etat de la technique anterieur 

La figure 1 illustre la schematique fonctionnellc d'un terminal securise TS, notamment 
bancaire, selon I'art anterieur. 

Un tel terminal integre un ensemble de fonctions, teller que : 
20 - une unite centrale 1 de traitement (micro-controIeur)> 

- un clavier 2, 

- une memoire volatile 3, 

- une m6moire non volatile 4, 
-un afficheurS, 

25 - une imprimante 6, 

- une interface do connexion externe 7 (serie ou paralleled 

- un lecteur de cartes magnetique 8 et /ou & puce 9, 

- un rnoyen de connexion & un r6seau de telecommunication tel qu'un modem 10, et 
~ une alimentation 1 1 en energie (batterie et/ou secteur), 

30 

Ces composants sont relies par un ensemble de bus 12 de natures differentes 
(alimentation, memoire, contrSle) et sont bien connus de I'homme du metier. Le tout 
repose sur un ou plusieurs circuits imprimes repartis dans un ou plusieurs boitiers. 
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La realisation de ce type de terminal est convention netle hormis que certains 6!6ments 
de s6curit6 doivent £tre ajoutes afin d'interdire toutes manipulations pouvant atterer ou 
extraire des informations confidential es ou financidre (code personnel d 'identification 
PIN, transactions bancaires, fichiers medicaux, etc....). 

5 

Pour des raisons techniques, financi&res et de s6curit6, i'unitd ccntralc (mlcro- 
controJeur), tes memoires et certains p6riph£riques d'entr6e/sortie de donn^es 
sensibles sont confines dans ie meme boTtier. Ce boTtier dispose de d6tecteur 
d'intrusion afin de garantir I r int6grit6 du domaine de s6curit6 dudit boTtier. La s6curlt6 
10 reste principalement physique pour ce type de solution. ~~ 

Dans un mode de realisation plus sophistique, les donn6es sensibles qui transitent sur 
les bus et entre les unites fonctionnefies sont chiffrees. Ce mode est generalement 
restraint a Ignite centrale qui chiffre ces donn6es vers les memoires ou les ensembles 
1 5 distants via le modem. 

Differentes configurations sont possibles. 

Une premiere configuration est un ensemble monolithique, dans fequel tous Fes sous- 
ensembles fonctionnels sont regroup6s dans un boTtier unique. 

20 Une seconde configuration est Tensemble bi-modules, dans lequel les sous-ensembles 
fonctionnels sont regroup6s dans deux boftiers selon deux combinaisons. Selon la 
premiere combinaison, dans un premier boTtiersont regroupes tous fes sous-ensembles 
sauf rimprimante et ralimentation principale, et dans un second boTtier sont regroup6s 
rimprimante ct ralimentation principals (par exempie le secteur). Selon la seconde 

25 combinaison, dans un premier boTtier sont regroupSs tous les sous-ensembles sauf 
ralimentation principale, ct dans un second boTtier se trouve ralimentation principale 
(par exempie le secteur). 

Seul le premier boTtier qui contient I'unite centrale et les peripheriques d'entr§es/sortie 
de donn£es sensibles est protegg contre les intrusions. 

30 

Les solutions traditionnelles imposent une protection globale du boTtier et lient des 
fonctions de valours inteflcctueiles differentes. Ainsi, les fonctions nobles qui sont 
regroup6es autour de I'unite centrale (memoires et applications) sont de facto relives £ 
la m§me 6chelie de valeur que le boTtier qui les conttent 
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R6sum6 de Tinvention 

Un premier objet de la pr6sente invention est de nSduire le coQt d'un terminal s6curise. 
Un second objet de 1'invention est d'am£fiorer la securite d'un terminal s6curis6, 
5 Aa moins un de ces objets est atteint par un terminal s6curis6 selon la revendication 1 . 

Avoc Ic terminal s6curis<£ selon r invention , les fonctions nobles peuvent etre dissoctees 
de celles qui ne le sont pas. 

L'unit6 central©, la m6moire, les applications et les donnees. ainsi que la securite 
10 assoctee £ proteger ces elements (par exemple le module de s6curit6 (SAM), le 
d6tecteur d'infraction, ou le dispositif de chiffrement) ont une valeur importante au sein 
d'un terminal s6curis6. 

Les p6riph6riques annexes tels que I'imprimante, le lecteur de cartes, le modem ont 
une valeur ajoutee faible. II en va de merne pour I'alimentation et la m6canique (bottier). 
15 Avec le terminal s6curis6 selon invention, la partie la plus valorisee du terminal est 
d6tachee des p6riph6riques annexes et concentre les efforts de s&curisation. 
Le terminal s£curis6 sefon I'invention pr6sonto done des avantages au niveau 
econornique et au niveau de la securite. 

20 Br6ve description des desslns 

D'autres caracteristiques et avantages de ('invention apparaftront dans la description 
suivante d6tailI6e et non limitative d'un mode de realisation et de diff6rentes 
alternatives, en reference aux dessins annexes dans lesquels : 

- la figure 1 , d6j& d6crite, repr^sente schematiquement les elements fonctionnels d'un 
25 terminal s6curis6 7 en particulier bancaire, scion Tart ant6rieur ; 

- la figure 2 illustre schematiquement les §I6ments fonctionnels d'un terminal securise, 
en particulier bancaire, selon ^invention. 

Expos6 detail^ de I'invention 

30 La figure 2 illustre le d6coupage fonctionnel d'un terminal bancaire s6curis6 TS' selon 
Tinvention. 

La partie valorisSe est continue au sein d'un sous ensemble protegS SEP qui 
comprend : 
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- une unite centrale 1 , 

- des m6moires 3 et 4 dans losquelles sont stock6es des donn6es et des applications, 

- un clavier 2 qui est un p6riph6rfque d6licat d prot6ger. 

L'ensemble de ces composants sont re!i6s entre eux par un bus 12' classique. 
5 Selon une alternative, rafficheur 5 peut etre un 6l6ment constitutif de ce sous ensemble 
prot6g6 SEP, en particulier sf celui-ci ne dispose pas d'un moyen de chiffrement 
Selon une autre alternative, rafficheur 5 peut £tre un <§l£rnent constitute du sous- 
ensemble de base SEB constituent la partie a faible valeur ajout6e> Selon cette 

alteraativer-une-co^ro^ 

1 0 rafficheur dispose de moyens cryptographiques sym^triques ou asym6triques. 

Le sous-ensemble de base SEB comporte : 

- une fmprimante 6, 

- une interface de connexion externe 7 (s6rie ou paralldfe), 
15 - un Iccteur de cartes magn6tique 8 et /ou & puce 9, 

- un moyen de connexion & un r6seau de telecommunication tel qu'un modem 10, et 

- une alimentation 1 1 en energte (batterie et/ou secteur). 

Ces composants sont relies entre eux par un bus 12" classique. 

20 Ce sous^ensemble prot£g£ est insurable, par exemple par HntermSdiaire d'un 
connecteur 13. dans un sous-ensemble de base SEB constituant dans ia partie & faible 
valeur ajout6e. Le connecteur 13 est par exemple un connecteur de type PCMCIA. 
II n'y a pas de n^cessite d ce que le sous-cnscmblc do base SEB soit certifi6. 
La ou les parties a faible valeur ajout6e sont regroup6es dans un ou plusieurs boitiers | 

25 et i'un deux est destine a contentr le sous-ensemble SEP valorise et d6tachable, 

Le sous ensemble proteg<§ SEP comporte : 

- les applications, 

- I'architecture 6(ectronique du coeur du terminal, I 
30 - Fes moyens assurant la s6curit6 (par exemple le module SAM...). I 

Le sous ensemble prot6g6 SEP constitue un module detachable, ais6ment distribuable I 

et integrable dans un terminal bancairc du m6me constructour ou d'un tiers <OEM I 

"Original Equipment Manufacturer" ou ODM "Original Design Manufacturer"). I 
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Le sous ensemble prot6g6 SEP constitue par exemple un module scell6, ind^montable 
sans destruction, II peut etre certify, II contient le clavier destine £ entrer les donn6es 
sensibles. La connexion entro le clavier 2 et le microcontrOleur 1 du sous ensemble 
protege SEP est directe, interne et non accessible & I'extefleur du sous ensemble 
5 protege. Le scellement du sous ensemble protegd SEP interdit toute reparation mais 
autorise I'usage de composants non s6curis6s. Ainsi le soqg ensemble prot<§g6 SEP 
peut etre fabrique a partir de composants standards, corrip>ren&nt en particulier un 
clavier standard dont la senurisation est simple et economiqiye. JQe niveau de s6curit6 
atteint est celui traditionnellement d6nornm6 « d6tecti9^4(^^ude 6vidente » (ou 
10 « tamper evident »)> 

La solution selon ['invention permet egalement de r6sou<jre ta* problemes de migration 
et de maintenance. 

La migration simple pour un client d'un terminal d'une unctonne g6n6ration vers une 
15 nouvelle g6n6ratton presentant des fonctionnaitt&s ameltor&ie (par exemple nouvelle 
imprimante; afficheur cquleur, nouveau modem (wifi ou AD$L))- Avec le sous ensemble 
prot6g& SEP. les donn^es sont transferees en toute s6curlt* #t Jn*tantan6ment vers la 
nouvelle plate-forrvie de reception (sou£-ensemble de bas© 36 £)• 
La maintenance e&t sirnpliftee en cas po panne du sous ensemble de base SEB car il 
20 suffit de detacher le sous ensemble prpt^ge SEP et de Hn*ta!l*r dans un npuveaux 
sous ensemble de base SEB, 

Selon Hnvention, it est possible de normalise** le$ dimensions et/ou la connectique du 
sous ensemble prai6gG SEP sfin de permettre yne migration simplifies pour le 
fabriquant de terminaux. En effet, ce dernier peut faire ^volyer I'architecture et ta 
25 technologie du sous ensemble prot6g6 SEP en fonction des opportunity offert^s p^r Is 
march6. 

La maintenance du sous ensemble protege SEP est simplifies car colul-ct est scelte et 
done jetable. Par construction, ce dernier ne peut etre d<§mont£ sans quMl soit dStruit 

. 30 Enfin, du point de vue de l'utilis&teur, it est possible de partager un sous ensemble de 
base SEB avec plygifyrs sous ensembles prot6g6s SEP Ii6s a differents utilisateurs 
(hypermarsh<§, rnarch6 o^vert sous ensemble protege SEP faisant alors office de 
« coffre >> & donnees per$pnnalis6 ets6curise. 

k 
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REVINDICATIONS 

1 . Terminal s^curise comportant : 

- des moyens principaux constitues de moyens de traitement, de moyens de 
5 memorisation de donnees et de programmes, de moyens de s6curite et de moyens de 

saisie de donnees, ces elements constitutifs des moyens principaux etant relies entre 
eux par un premier bus de donnees, 

- des moyens peripheriques constitues de moyens d'imprcssfon, do moyens de 
lecture/ecriture d'une carte et de moyens d'acces a un reseau de telecommunication, 

10 ces elements constitutifs des moyens peripheriques etant relies entre eux par un 
second bus de donnees. 

- des moyens d'alimentation relies aux moyens principaux et peripheriques, 
caracterise en ce que les moyens principaux sont regroup6s dans un boitier principal 
indemontable sans deterioration d'au moins un element constitutif des moyens 

15 principaux, et en ce que les moyens d'alimentation et les moyens peripheriques sont 
regroupes dans au moins un boitier apte a etre connecte au boTtier principal. 

2. Terminal securise selon la revendication 1, dans lequel les moyens peripheriques 
comportent en outre des moyens d'affichage, 

20 

3. Terminal securise selon la revendication 2, dans lequel les moyens d'affichage sont 
relies aux moyens principaux par un canal de communication par lequel transient des 
donnees chiffrees. 

25 4. Terminal securise selon la revendication 1, dans lequel les moyens principaux 
comportent en outre des moyens d'affichage. 

5. Terminal securise selon la revendication 4, dans lequel les moyens d'affichage ne 
sont pas certifies du point de vue de la securite. 

30 

6. Terminal securise selon la revendication 1, dans lequel les moyens de traitement, les 
moyens de memorisation de donnees et de programmes, les moyens de securite et les 
moyens de saisie de donnees ne sont pas certifies du point de vue de la securite. 



7. Terminal securise selon la revendication 1, dans lequel les moyens d'impression, less 
moyens de lecture/venture d'une carte et les moyens d'acces a un r6seau de 
telecommunication ne sont pas certifies du point de vue de la securite. 
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ABREGE 



TERMINAL SECURISE 

Un terminal s6curis6 comporte : 

~ des moyens principaux constitues de moyens de traitement, de moyons do 
memorisation de donnees et de programmes, de moyens de s6curite et de moyens de 
safsie de donn§es, ces elements constitutifs des moyens principaux Slant relies antre 
eux par un premier bus de donnees, 

- des moyens p^ripheriques constitu6s de moyens depression, de moyens de 
lecture/6criture d'une carte et de moyens d'acces a un reseau de telecommunication, 
ces elements constitutifs des moyens p6riph6riques etant relies entre eux par un 
second bus de donnees, 

- des moyens d'alimentation relies aux moyens principaux et p6riph§riques. 

Les moyens principaux sont regroup&s dans un boTtier principal ind^montable sans 
d6t6rioration d'au moins un 6I6ment constitutif des moyens principaux, et fes moyens 
d'alimentation et les moyens p6riph6riques sont regroupes dans au moins un boitier 
apte A &tre connects au boTtier principal* 

Figure 2 
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